途牛旅游网高度重视保护用户个人信息
2019-09-17 15:01:00  来源:中国江苏网  

  途牛旅游网是国内领先的在线休闲旅游公司,目前注册用户数8000万人,为广大消费者提供旅游产品预订、机票预订、酒店预订等服务,并提供丰富的后续服务和保障。

  途牛自成立来一直高度重视用户个人信息保护工作,为提升安全能力,途牛聚集了相关领域的专家为用户个人数据安全保护做了不少技术方面的工作,将用户身份信息中的身份鉴权信息、认证信息及通讯信息定级为绝密级信息,并规定绝密级信息在存储和传输过程中必须实施加密措施。

  2012年就按照ISO27001的要求建立了自己的信息安全管理体系(ISMS),在近些年来的安全工作中逐步发展,建立了途牛安全应急响应中心(SRC),通过SRC向外部白帽子提供漏洞奖励的方式来搜集自身的漏洞并加以修复,提升自身的安全性;自研了web应用防火墙(waf),拦截了大量针对途牛网站的攻击;购买了主机入侵检测设备(IDS),实时监控服务器运行状态和主机层面漏洞情况;购买了杀毒软件,所有员工工作电脑全部安装,实时监控内网病毒木马状况并查杀;购买了堡垒机,限制所有服务器访问必须通过堡垒机,并且每个季度都针对操作日志进行日志审计工作;针对线上系统开展了等级保护工作,并顺利通过等级保护测评。在多重安全技术措施的保护下,途牛自成立以来并没有发生过重大安全事件,也获得了上级主管单位的认可,荣获了江苏省公安厅网络安全管理优秀团队的表彰。

  同时途牛旅游网设立了以CTO牵头、三十余名技术骨干参与的专项信息安全小组。在网络安全工作方面,我们按照《通信网络安全防护办法》定级备案要求,对所有正式上线运行的系统在“通信网络安全防护管理系统”中进行了定级备案,按照《工业和信息化部关于加强电信和互联网行业网络安全工作的指导意见》的要求梳理并明确了安全相关责任小组和个人,明确了部门和岗位职责;对于安全制度建设方面的问题,我们严格按照行业主管部门的要求和行业标准及规范,建立了一系列网络与信息安全管理方面的制度、规范及预案(如:《信息安全管理手册》、《信息安全行为准则》、《网络安全应急预案》、《数据安全应急预案》、《用户个人信息安全管理规范》、《新技术新业务安全评估管理制度》、《网络违法案件报告与协查制度》等),同时对获得许可的电信业务建立了安全评估工作台账,在行业合规性方面进一步提升完善;在安全开发方面,我们制定了《研发安全评分及漏洞定级标准》和《安全开发标准》,针对内部所有新项目进行安全评审以及上线之前的安全测试,同时针对研发开展了安全开发方面和网络安全法方面的培训工作,从管理和技术两个层面推进了研发人员对安全的认识,从思想认知和实施管控两个层面有效提升了项目的安全性;在具体实施工作中,我们严格按照《互联网新技术新业务安全评估指南》要求开展了安全评估工作,针对网络安全与数据安全保护方面进行了网络安全应急演练和数据安全应急响应演练,针对线上各个系统定期开展风险评估、渗透测试和安全扫描工作。

  作为一家互联网旅游公司,途牛将继续努力并践行公司“客户第一”的服务理念,不断提高公司网络安全意识和管理水平,进一步做好用户网络安全信息保护工作。

返回首页